O WhatsApp corrigiu uma vulnerabilidade zero-click, zero-day que era usada para instalar o spyware Graphite da Paragon, após relatórios de pesquisadores de segurança do Citizen Lab da Universidade de Toronto.
A empresa abordou o vetor de ataque no final do último ano "sem a necessidade de uma correção do lado do cliente" e decidiu não atribuir um CVE-ID após "revisar as diretrizes da CVE publicadas pelo MITRE e [suas] próprias políticas internas."
"O WhatsApp interrompeu uma campanha de spyware da Paragon que visava uma série de usuários, incluindo jornalistas e membros da sociedade civil. Entramos em contato diretamente com as pessoas que acreditamos terem sido afetadas," disse um porta-voz do WhatsApp.
Este é o mais recente exemplo de por que as empresas de spyware devem ser responsabilizadas por suas ações ilegais.
O WhatsApp continuará a proteger a capacidade das pessoas de se comunicarem de forma privada.
Em 31 de janeiro, após mitigar o exploit zero-click usado nesses ataques, o WhatsApp notificou aproximadamente 90 usuários do Android de mais de duas dezenas de países, incluindo jornalistas e ativistas italianos, alvo do spyware Graphite para coletar dados sensíveis e interceptar suas comunicações privadas.
O Citizen Lab descobriu que os atacantes adicionaram os alvos a um grupo do WhatsApp antes de enviar um PDF.
Na próxima fase do ataque, o dispositivo da vítima processou automaticamente o PDF, explorando a vulnerabilidade zero-day agora corrigida para carregar um implante de spyware Graphite no WhatsApp.
O implante depois comprometeu outros aplicativos nos dispositivos visados ao escapar do sandbox do Android.
Uma vez instalado, o spyware oferece aos seus operadores acesso aos aplicativos de mensagens das vítimas.
"Os cerca de 90 alvos notificados pelo WhatsApp provavelmente representam uma fração do número total de casos da Paragon. No entanto, nos casos já investigados, há um padrão preocupante e familiar de visar grupos de direitos humanos, críticos do governo e jornalistas," disse o Citizen Lab na quarta-feira(19).
Infecções por spyware Graphite podem ser detectadas em dispositivos Android hackeados com a ajuda de um artefato forense (apelidado de BIGPRETZEL) que pode ser identificado analisando os logs de dispositivos comprometidos.
No entanto, a falta de evidência de infecção não exclui os indicadores forenses serem sobrescritos ou não capturados devido "à natureza esporádica dos logs do Android."
O Citizen Lab também mapeou a infraestrutura de servidores usada pela Paragon para implantar os spyware Graphite nos dispositivos dos alvos, encontrando possíveis ligações com vários clientes governamentais, incluindo Austrália, Canadá, Chipre, Dinamarca, Israel e Singapura.
Partindo do domínio de um único servidor dentro da infraestrutura da Paragon, os pesquisadores desenvolveram múltiplas impressões digitais que ajudaram a descobrir 150 certificados digitais ligados a dezenas de endereços IP acreditados serem parte de uma infraestrutura dedicada de comando e controle.
"Essa infraestrutura incluiu servidores baseados na nuvem possivelmente alugados pela Paragon e/ou seus clientes, bem como servidores provavelmente hospedados nas instalações da Paragon e de seus clientes governamentais," disse o Citizen Lab.
"A infraestrutura que encontramos está ligada a páginas da web intituladas 'Paragon' retornadas por endereços IP em Israel (onde a Paragon é baseada), assim como um certificado TLS contendo o nome da organização 'Graphite', que é o nome do spyware da Paragon, e o nome comum 'installerserver' (Pegasus, um produto de spyware concorrente, usa o termo 'Installation Server' para se referir a um servidor projetado para infectar um dispositivo com spyware)."
O desenvolvedor israelense de spyware Paragon Solutions Ltd. foi fundado em 2019 por Ehud Barak, ex-primeiro-ministro de Israel, e Ehud Schneorson, ex-comandante da Unidade 8200 de Israel.
O grupo de investimento baseado na Flórida, AE Industrial Partners, adquiriu a empresa supostamente em dezembro de 2024.
Ao contrário de concorrentes como o NSO Group, a Paragon afirma que só vende suas ferramentas de vigilância para agências de aplicação da lei e inteligência em países democráticos que desejam mirar criminosos perigosos.
Em dezembro de 2022, o New York Times informou que a Administração de Fiscalização de Drogas dos EUA (DEA) usou o spyware Graphite da empresa.
Dois anos depois, em outubro de 2024, a Wired reportou que a Paragon assinou um contrato de $2 milhões com o Serviço de Imigração e Alfândega dos EUA (ICE).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...